パスワードポリシー
ここでは、プラットフォームで以下の設定方法について説明します。
強力なパスワードの作成を強制する。
既に使用したパスワードのモニタリングと使用防止。
ユーザに一定期間ごとにパスワードの変更を強制する。
チェック・ポイントのサイバーセキュリティプラットフォームを保護するための重要な要素の1つは、ユーザのパスワードを設定し、適切なパスワードポリシーを作成することです。
| 注 - パスワードポリシーは、RADIUSなどの認証サーバがログイン情報とパスワードを管理する非ローカルユーザには適用されません。また、SSHでサポートされている公開鍵認証のような、パスワード以外の認証には適用されません。 |
ユーザのパスワードを設定および変更するには、ユーザとユーザ管理を参照してください。
パスワードの強度
さまざまな種類の文字を使用し、パスワードの変更を必要とする、強力でユニークなパスワードは、サイバーセキュリティ全体の重要な要素です。
パスワード履歴の確認
パスワード履歴機能は、ユーザがパスワードを変更する際に、以前に使用したパスワードを使用できないようにする機能です。
この機能が照合する既に使用されたパスワードの数は、履歴の長さで定義されます。
パスワードの履歴チェックは、デフォルトで有効になっています。
パスワード履歴の確認:
管理者が設定したユーザパスワードと、ユーザが設定したパスワードに適用されます。
SNMPv3 USMユーザパスフレーズには適用されません。
パスワード履歴を利用する際の留意点:
ユーザのパスワード履歴は、ユーザがパスワードの変更に成功したときのみ更新されます。
履歴の長さを、例えば10個から5個に変更しても、保存されるパスワードの数は変わりません。
次にユーザがパスワードを変更するとき、新しいパスワードは、保存されているすべてのパスワード(おそらく5つ以上)と照合されます。
パスワード変更に成功すると、パスワードファイルは更新され、最新の5つのパスワードのみが保持されます。
パスワードの履歴は、パスワード作成時にパスワードの履歴機能が有効になっている場合のみ保存されます。
新しいパスワードは、以前のパスワードがパスワード履歴に保存されていない場合でも、以前のパスワードと照合されます。
必須のパスワード変更
必須のパスワード変更機能は、定義された間隔で新しいパスワードを使用することをユーザに要求します。
パスワードの定期的な変更をユーザに求めることは、強固なセキュリティポリシーとして重要です。
ユーザのパスワードは、指定した日数後に失効するように設定することができます。
パスワードの有効期限が切れると、次回ログイン時にパスワードの変更が強制されます。
この機能は、パスワードの履歴チェックと連動して、ユーザに一定期間ごとに新しいパスワードを使用させるためのものです。
パスワードの強制変更機能は、SNMPv3 USMユーザパスフレーズには適用されません。
未使用のアカウントへのアクセスを拒否する
未使用のアカウントへのアクセスを拒否することができます。設定した時間内にログインに成功しなかった場合、ユーザはロックアウトされ、ログインすることができなくなります。
また、ユーザがロックアウトされるまでの不使用の許容日数も設定できます。
ログインに失敗した後のアクセス拒否
ログインに何度も失敗すると、アクセスを拒否することができます。ユーザは設定した時間、ログインすることができません。
また、ユーザがロックアウトされた後、再びアクセスを許可することもできます。
さらに、ユーザがロックアウトされるまでに許容されるログイン失敗回数を設定することができます。
ログイン試行が 1 回成功すると、失敗した試行のカウントが停止し、カウントがゼロにリセットされます。
